RDP 攻撃隔離モード

適用対象:WatchGuard EPDRWatchGuard EDR

コンピュータが RDP 攻撃隔離モードになっていると、これが IOA (Indicators of Attack) ダッシュボードの Threat Hunting Service タイルに示されます。RDP 攻撃隔離モードにより、ハッカーが脆弱なコンピュータ経由で IT ネットワークにアクセスし、横展開して保護対象外の他のデバイスに侵入した後、RDP を使用してあるデバイスから別のデバイスに移動する攻撃を防御することができます。

WatchGuard Endpoint Security では、RDP サービス経由で IT ネットワークのコンピュータに接続しようとする動作が監視されます。単一の IP アドレスで多数の試行が失敗した場合は、WatchGuard Endpoint Security では、影響を受けるコンピュータで RDP 攻撃隔離モードが有効化されます。

初期 RDP 攻撃隔離モード

コンピュータで多数の RDP 接続の試行が無効な認証情報が原因で失敗すると、WatchGuard Endpoint Security で、RDP に対する総当たり攻撃 IOA が生成され、コンピュータが初期 RDP 攻撃隔離モードになります。

このモードでは、過去 24 時間に多数の接続試行が送信された顧客ネットワーク外の送信元 IP からコンピュータへの RDP アクセスがブロックされます。

特定の IP アドレスを許可して接続をブロックしない場合は、その IP を許可リストに追加することができます。詳細については、RDP 攻撃設定を構成する を参照してください。

制限的 RDP 攻撃隔離モードを有効化する

以前に無効な認証情報に起因して接続に失敗したアカウントで、攻撃者からの正常なログイン試行が発生すると、初期 RDP 攻撃隔離モードのコンピュータが制限的 RDP 攻撃隔離モードに移行します。

WatchGuard Endpoint Security では、RDP への総当たり攻撃後に侵害された認証情報 IOA が生成され、アカウントが侵害されたと見なされます。過去 24 時間にターゲット コンピューターに少なくとも 1 回接続を試行したすべての外部 RDP 接続がブロックされます。

RDP 攻撃隔離モードでコンピュータのリストを開くには、以下の手順を実行します。

  • ステータス > IOA (Indicators of Attack) ダッシュボードの順に移動して、Threat Hunting Service タイルで、すべて表示する をクリックします。


RDP 攻撃隔離モードが有効化されているコンピュータが表示されるようにフィルタリングされた状態で、コンピュータ保護ステータス リストが開きます。

コンピュータ保護ステータス リストで赤い RDP アイコンが付いている場合は、RDP 攻撃隔離モードが有効化されているという意味です。WatchGuard Endpoint Security で RDP 攻撃隔離モードが無効化されるまで、RDP アイコンがオレンジ色に点滅します。

RDP 攻撃隔離モードを終了する

隔離モードが有効化されてから 24 時間後に、WatchGuard Endpoint Security で、RDP 経由の接続の試行回数が評価されます。これが既定のしきい値を下回っている場合は、WatchGuard Endpoint Security で、RDP 攻撃隔離モードが自動的に終了されます。試行が続いている場合は、隔離モードがさらに 24 時間続きます。

ネットワークの安全性が確認され、RDP 攻撃の危険性がなくなった場合は、コンピュータの詳細ページまたはコンピュータ リストのオプション メニューで、コンピュータの RDP 攻撃隔離モードを手動で終了することができます。隔離モードを手動で終了すると、以下が発生します。

  • コンピュータで記録およびブロックされていたすべての IP が解放される。
  • コンピュータで RDP 接続が許可される。

WatchGuard Endpoint Security で、隔離モードが自動的に終了された場合は、IP は解放されず、引き続きブロックされます。

コンピュータの詳細ページで RDP 隔離抑制モードを終了するには、以下の手順を実行します。

  1. リストから、コンピュータを選択します。
    コンピュータの詳細ページが開きます。通知ボックスに、コンピュータが RDP 攻撃隔離モードになっていることが示されます。
  2. モードをオフにするには、RDP 攻撃隔離モードを終了する をクリックします。

コンピュータ リストで RDP 攻撃隔離モードを終了するには、以下の手順を実行します。

  1. 上部のナビゲーション バーで、コンピュータ を選択します。
  2. マイ組織 タブで、RDP 攻撃隔離モードを終了するコンピュータが含まれているグループを選択します。
  3. コンピュータ ページで、RDP 攻撃隔離モードになっているコンピュータの行にあるオプション メニューをクリックします。
    RDP 攻撃隔離モードの Windows コンピュータには、IP アドレスの横に赤い RDP アイコンが表示されます。
  4. オプション メニューで、RDP 攻撃隔離モードを終了する を選択します。
    WatchGuard Endpoint Security で RDP 攻撃隔離モードが無効化されるまで、RDP アイコンがオレンジ色に点滅します。

コンピュータの隔離ステータス

RDP 攻撃隔離モードが終了されると、WatchGuard Endpoint Security では、直ちにすべての受信者コンピュータにコマンドが送信されます。デバイスへのアクセスが可能な状態で、リアルタイム通信が有効化されている場合は、アクションが直ちに実行されます。

WatchGuard Endpoint Security からコンピュータに接続できない場合は、コンピュータで隔離モードが継続されます。WatchGuard Endpoint Security から、向かう 7 日間にわたり、4 時間ごとにコマンドが送信されます。アクションを完了できない場合は、Web UI に、コンピュータ ステータスが RDP 攻撃隔離モードとして表示されます。

関連情報:

RDP 攻撃設定を構成する

リアルタイム通信を無効化する